La conformité réglementaire est-elle la solution idéale ?

La protection contre des menaces toujours plus sophistiquées gagnera en efficacité si elle s’adosse à une politique d’entreprise globale et stratégique

Depuis la fin des années 90, les entreprises se sont engagées par milliers dans une politique de conformité réglementaire, qu'il s'agisse de la loi Sarbanes Oxley (SOX) et de son équivalent français la Loi sur la Sécurité Financière (LSF), du GLBA (Gramm Leach Bliley Act) ou encore du HIPAA (Healthcare Insurance Portability and Accountability Act).

Le respect de ces nouvelles lois a amené les entreprises à commanditer des audits précis de leurs documents financiers, à faire appel à des experts en droit, à initier la refonte de leurs architectures informatiques, ou encore à recruter des chefs de projets dédiés à la conformité.

Les besoins en matière de conformité ont été dopés par l'émergence de nouvelles lois telles que la règle 17 de la SEC, le cadre réglementaire européen Bâle II ou des lois régionales complexes (Security Breach Information Act en Californie par exemple). Un nouveau marché est né et pèse plusieurs milliards de dollars. Un marché sur lequel se positionnent les consultants spécialisés et les éditeurs de solutions informatiques.

La conformité est certes un casse-tête et quelquefois un gouffre financier, mais les investissements réalisés donnent des résultats visibles et encourageants. Ainsi, les acteurs du secteur américain de la santé sont aujourd'hui contraints de protéger les données nomades des patients et de garantir la confidentialité des données des patients.

La loi SOX est à l'origine de meilleures procédures d'audit interne, dans le secteur public et privé, et a permis d'améliorer la visibilité de nombre de dirigeants sur le fonctionnement interne de leur entreprise. Quant au GBLA, il assure la confidentialité des données financières de millions de consommateurs et utilisateurs de carte de crédit d'entreprise, de services bancaires et de courtage et d'autres services financiers. Autant de changements qui laissent penser que nous sommes sur la bonne voie.

Au-delà, le marché de la conformité est également un eldorado pour les fournisseurs d'infrastructures réseaux et de sécurité des données, qui, pour nombre d'entre eux, font de leur solution le produit-miracle de la conformité. La messagerie électronique et les systèmes de messagerie sont également sous les projecteurs compte tenu de leur rôle dans l'acheminement de données sensibles, des données clients et d'informations financières d'entreprise.

Le cryptage et le filtrage des données sont deux fonctionnalités phares qui permettent le respect de la loi HIPAA. Mais cette approche symptomatique, qui définit opportunément l'intégrité des réseaux et la sécurité des informations à l'aune des lois HIPAA, LSF, Bâle II, SOX et autres, n'apporte qu'une solution partielle à une problématique qui, en réalité, est autrement plus stratégique.

Les lois sont susceptibles de varier d'un pays à l'autre, et la politique d'entreprise en matière de gestion des informations doit également être respectée et s'imposer en tant que référentiel des règles les plus contraignantes.

Parallèlement, les lois sont appelées à évoluer, voire se modifier totalement. Ainsi, une perspective plus globale est nécessaire si une entreprise souhaite réellement atteindre ses objectifs de sécurité de l'information. La conformité n'est ainsi qu'une brique d'une politique plus globale qui vise à sécuriser la totalité des actifs intellectuels d'une entreprise.

Une nouvelle politique globale en matière de sécurité des informations

Jusqu'à présent, la conformité s'est appliquée de manière réactive et opportuniste. Pourtant, la protection de la propriété intellectuelle et le respect des lois nationales et étrangères poussent les entreprises à appliquer une politique de sécurité dédiée et cohérente, notamment en matière de messagerie.

Au-delà, l'idée d'une politique de sécurité unique et standardisée semble révolue. Ainsi, la conformité à HIPAA, pour une entreprise américaine du secteur de la santé, ressort quelque peu déficiente si cette entreprise dispose d'un hôpital aux Etats-Unis, d'un laboratoire aux Philippines et d'un centre de support en Inde. Dans un tel cas, une protection sans failles contre les menaces implique une politique globale soucieuse des législations locales et adaptée aux nouvelles lois.

Le respect des lois nationales forme le principal axe des politiques de conformité. Pourtant, les lois locales et celles des instances supra-nationales (comme en Angleterre, aux Etats-Unis, en Europe, en Inde et au Japon) constituent, elles aussi, de nouveaux cadres législatifs potentiellement plus contraignants.

Ces nouvelles lois, qui viennent s'ajouter aux exigences nationales de conformité, témoignent de la dimension mondiale des principes de conformité. Les directions informatiques les plus avancées sont ainsi confrontées à un dédale réglementaire à l'échelle de la planète. Et la tendance n'est certainement pas à la simplification.

Quand la politique d'entreprise devient mondiale
Une politique gagne en efficacité si elle permet à une entité d'adapter les règles standards pour les traduire en conditions d'utilisation pour la messagerie électronique, des règles concrètes qui pourront en retour être appliquées sur l'ensemble de l'entreprise.

Cette approche se concrétise en quatre étapes :

Aspects culturels et politiques d'entreprise

Une politique mondiale qui vise à respecter les lois nationales ou supra-nationales ne sera exhaustive que si elle intègre également les critères culturels, ethniques ou de sexe pour garantir un contenu approprié et non offensant, ce qui immuniserait l'entreprise contre des risques juridiques et financiers. Toute politique devra faire preuve de flexibilité et être conçue à l'échelle mondiale pour assurer le respect des différentes cultures et des lois locales.